小措施提高Linux服务器安全

黑客很多时候是个体力活。挂着扫描器,漫无目的的寻找不设防的主机,植入后门,控制,卖给需要的人。

所以,一些基本的安全措施可以避免太过容易成为目标,下面就小小的介绍一些。

禁止root远程登录

作为默认系统管理账号root是最容易攻击的目标。禁止通过ssh远程登录是绝对必须的。

方法:

编辑 /etc/ssh/sshd_config

PermitRootLogin no

同时,请为管理员建立个人账户,并分配到sudoers用户组(默认为%admin)

$ sudo adduser example_user
$ sudo usermod –a -G admin example_user

修改SSHD默认端口

远程服务SSHD的默认端口22也是端口扫描的重点目标,修改为其他端口(通常为1024以上)可避免大部分攻击。 方法: 编辑 /etc/ssh/sshd_config

Port 8822 #default 22

使用SCP代替FTP

FTP虽然方便,但是安全性一直被诟病。

后台文件管理时,用加密的SCP方式可以更好的解决这个问题。

SCP利用了SSHD的服务,所以不需要在服务器另外配置,直接调整账号权限即可。

Windows下可以使用软件winscp连接服务器。

官方网站: http://winscp.net

安装denyhosts

Denyhost可以帮你自动分析安全日志,直接禁止可疑主机暴力破解。

Debian用户可以直接使用apt安装

$ sudo apt-get install denyhosts

官方网站: http://denyhosts.sourceforge.net/

谨慎控制目录和文件权限,灵活使用用户组

例如,如果监控程序munin需要访问网站日志,请不要修改日志文件的权限设置,而是将munin加入

www-data用户组

$ sudo usermod -a -G www-data munin

为系统程序使用专用账号

尽量为每个系统程序使用专用账号,避免使用root

如mysql, munin 等,灵活使用 sudo -u example_user 等命令切换执行用户和用户组

从官方网站下载putty

Putty是非常流行的windows平台远程工具,但不要贪图方便随意下载。

如此重要且免费的软件,请从官方网站下载,并且最好进行完整性校验。

官方网站:http://www.chiark.greenend.org.uk/~sgtatham/putty/

后记

希望这些有助于提高您网站的安全性

伯乐在线补充

关于前文提到的 putty 和 WinSCP,2012年1月末,有网友发现这两款开源软件的中文版带有后门(详情见微博)。鉴于此,各位在下载软件时,请直接前往官网下载。再啰嗦一句,如果不知道官网,在选择搜索引擎时,用 Google !!!

此文,关于提高Linux服务器安全这个话题,如果各位还有其他建议,或相关书籍,或相关文章,不妨推荐。

原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2014-06-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏微服务生态

论代码级性能优化变迁之路(一)

大家好,很久没有和大家一起讨论技术了,那么今天我将和大家一起探讨我负责的某项目的性能变迁之路。

862
来自专栏python学习之旅

Python+Selenium笔记(二):配置谷歌+IE环境

#有的时候可能要访问外国的网站下载资料或工具,这时可能出现各种问题,例如谷歌人机验证显示不了、网站打不开等,建议使用一个FQ软件 下载免费版的就行了,土豪请随...

46211
来自专栏walterlv - 吕毅的博客

PasswordVault —— 在 UWP 应用中安全地保存密码

2018-06-15 13:43

1023
来自专栏bboysoul

安装python时碰到的尴尬的事情(使用pyenv离线安装python)

前几天迫不得已重装了系统,所以要重新安装一下python,我用的python版本管理工具是pyenv,大家都得知道一点的是大天朝的电信出口带宽等于断网,所以我用...

2002
来自专栏Linyb极客之路

浅谈高性能数据库集群——读写分离

最近学习了阿里资深技术专家李运华的架构设计关于读写分离的教程,颇有收获,总结一下。

1341
来自专栏FreeBuf

记我的一次账号劫持和BLIND XSS漏洞发现过程

我发现的第一个漏洞就是不安全对象引用漏洞(IDOR),利用该漏洞我能在每个账户中创建一个 element x元素,经过和朋友的交流,他建议我可以试试在其中注入一...

1740
来自专栏雨过天晴

转 树莓派无显示器安装系统

1762
来自专栏用户2442861的专栏

python项目打包部署

作者:张博 链接:https://www.zhihu.com/question/38081354/answer/81829426 来源:知乎 著作权归作者...

3.8K1
来自专栏听雨堂

Apache+wsgi+flask部署

flask自带的web server是开发用途,并不适用与发布,需要借助专业的web服务器。 配置的坑无数,Apache部署,403禁止,莫名其妙无法访问,50...

3879
来自专栏北京马哥教育

Python框架:Django写图书管理系统(LMS)

今天我会带大家真正写一个Django项目,对于入门来说是有点难度的,因为逻辑比较复杂,但是真正的知识就是函数与面向对象,这也是培养用Django思维写项目的开始

2371

扫码关注云+社区

领取腾讯云代金券